企业证书配置介绍.doc

实验项目五 证书服务器的配置 实验目的：当您在网络上发送数据时，这些数据可能会在发送过程中被截获、修改，而PKI(Public Key Infrastructure，公开密钥基础架构)可以确保电子邮件、电子商务交易、文件发送等各类数据发送的安全性。 实验环境：A机器：DNS服务器、独立CA服务器，一台Server08-１（Windows Server 2008 R2），B机器：Web服务器，一台Server08-２（Windows Server 2008 R2）。C机器：一台Client（Windows 7）。 注：考虑到同时开三台虚拟机，系统反应较慢，可以开两Windows Server 2008 R2，网卡用Host-only方式，C机器用主体机（Windows 7，设置Vm1网卡的地址与虚拟机在同一网段），并确保主体机能与虚拟机进行通信。 实验要求： 1、将A机器设置升级为域控，域名为：。 2、请将A机器安装AD CS并架设根CA（要求关键步骤截图） 实验步骤： （1）请在A机器上安装“AD 证书服务”。并安装企业的根CA，CA的名称用“ABC Enterprise Root”。（注意：要安装“证书颁发机构Web注册”） （2）安装后可打开“证书颁发机构”管理CA。请打开“证书颁发机构”及用于发放证书的模板。 （3）如何信任企业根CA理解。 Step1：先查看未加入域的Win7“受信任的根证书颁发机构”情况 Step2：将Win7加入域，查看“受信任的根证书颁发机构”情况 说明： （4）如何手动信任企业或独立根CA（利用Windows2008-2来完成） Step1：将Internet Explorer 增强安全配置（IE ESC）禁用 Step2：在IE浏览器中输入“http://CA的IP/certsrv”下载证书链，并保存。 Step3：在“证书”控制台将下载的证书导入 Step4：查看“受信任的证书颁发机构”情况 3、实例——SSL网站证书 说明：若网站是对Internet用户提供服务，建议向商业CA申请证书（如VeriSign），若是对企业内部员工、企业合作伙伴来提供服务的话，则可以自行创建。 （1）让网站与浏览器计算机信任CA 前面步骤已经完成 （2）做Web服务器的DNS解析 Step1：配置A机器的DNS服务：新建反向区域为：192.168.1；创建主机记录：www（并创建反向记录） Step2：请在C机器进行验证，并在下面写下验证命令。 （3）创建网站为为网站创建证书申请文件 Step1：将B机器搭建为Web服务器。 Step2：在IIS服务器中进行“创建证书申请”，注意：通用名称为，位长：1024，并将证书申请保存在C:\WebcertReq.txt。 （4）申请证书与下载证书 将从CA下载的证书安装到IIS计算机上。 Step1：利用产生的证书申请文件WebCertReq.txt，在Web服务器进行申请证书。（在IE中输入：http://CAIP/Certsrv，进行证书申请，并保存在相应位置，如桌面/newcert.cer） Step2:在IIS服务器中进行“完成证书申请”，（选择证书，并为证书设置名称：如Default Web Site的证书），可查看证书情况 Step3：将https协议绑定到“Default Web Site的证书”，查看网站绑定情况。 （5）创建网站的测试网页 Step1：将网站index.htm文档内容设为可链接到/cart Step2：编写安全访问目录下的网页文件如default.htm （6）SSL连接测试 查看测试结果